计算机网络信息安全理论与实践教程(PPT 69页)

1.4网络安全管理内涵
网络安全管理定义:是指通过一定的安全技术措施和管理手段,确保 网络的保密性、可用性、完整性、可控性和抗抵赖性，不致因网 络设备、通信协议、网络服务、网络管理受到认为和自然因素的 危害，导致网络中断、信息泄露和损坏。
网络安全管理目标：通过适当的安全防范措施，保障网络的运行 和信息安全，满足网上业务开展的安全要求。
7.5.2访问控制规则
1. 基于用户身份的访问控制规则 2. 基于角色的访问控制规则 3. 基于地址的访问控制规则 4. 基于时间的访问控制规则 5. 基于异常事件的访问控制规则 6. 基于服务数量的访问控制规则
7.6访问控制管理过程和内容
访问控制管理过程 1. 明确访问控制的管理的资产 2. 分析管理资产的安全要求 3. 制定访问控制策略 4. 实现访问控制策略，建立用户访问身份认证系统，
防火墙的安全策略
1 只允许符合安全规则的包通过防火墙，其他通信包禁止
2禁止与安全规则相冲突的包通过，其他包允许
防火墙＝过滤器＋安全策略(网关)
防火墙通过逐一审查收到的每个数据包，判断它是
否有相匹配的过滤规则。即按表格中规则的先后顺序以及每条
规则的条件逐项进行比较，直到满足某一条规则的条件，并作
出规定的动作(中止或向前转发)，从而来保护网络的安全。
防火墙技术与类型
1包过滤防火墙 (TCP、IP) 包过滤路由器与守卫有些相似，当装载有包的运输卡车到达时，“包过滤”
守卫快速的察看包的住户地址是否正确，检查卡车的标识(证件)以确 保它也是正确的，接着送卡车通过关卡传递包。虽然这种方法比没有 关卡更安全，但是它还是比较容易通过并且会使整个内部网络暴露于 危险之中。 2应用代理防火墙(Application Layer)
8.3防火墙主要技术参数
网络接口 协议支持 加密支持 认证支持 访问控制 安全功能 管理功能 审计和报表
防火墙性能指标
最大吞吐量 传输速率 最大规则数 并发连接数
第九章 VPN技术的原理和应用
9.1VPN 虚拟专用网(Virtual Private Networks，VPN)提供了一种在公
作出反应 3.4 对网络的安全措施进行评测 3.5 网络安全的管理和改进
3.2网络安全体系的构建原则与内容
1 系统性原则 2 互补性原则 3 安全风险原则 4 标准化与一致性原则 5 技术与管理相结合原则 6 预防性原则 7 等级性原则 8 动态原则 9 易操作原则
3.2网络安全体系的构建内容
第三章 网络安全体系
1、网络安全体系是指：
关于网络安全防范系 组织体系 ：有关网络安全的工
统的最高层次概念的
作部门的集合
抽象，它由各种网络
安全防范单元组成， 各组成单元按照一定 的规则关系能够有机
技术体系：加密、 授权、 认 证、 访问控制等
集成起来，共同实现 管理体系：管理目标、管理手
网络安全的目标。
段、管理主体、管理依据、管
理资源（规章制度、政策、 法
律、 法规等 ）
2、网络安全体系模型
1、PDRR模型 Protection（保护），Detection （检测），Recovery（恢复），Response（响 应）
2、ISS的动态信息安全模型 3、CISCO的网络动态安全模型 3.1 制定强健的安全策略 3.2 根据安全策略和网络情况选定产品 3.3 对网络的活动进行安全监控，当受到攻击时
根据不同的用户授予不同的访问权限，进而保护系统资源 访问控制分类 1物理访问控制 2网络访问控制 3操作系统访问控制 4数据库访问控制 5应用系统访问控制
7.2访问控制系统模型
访问控制数据库
主体
参考监视器
客体
审计库
主体：引起信息在客体之间流动的一种实体 客体：系统中被动的主体行为的承担者 参照监视器：监督主体和客体之间授权访问关系的部件，是访问控制执行单元和决策单元 访问控制数据库：记录主体访问客体权限及其访问方式的信息 审计库：存储主体访问客体的操作信息，包括访问成功信息，失败信息
防火墙技术与类型
3电路级网关型防火墙 4状态包检测
网络地址转换NAT
防火墙的功能
1. 过滤非安全网络访问 2. 限制网络访问 3. 网络访问审计 4. 网络带宽控制 5. 协同防御
防火墙的缺陷
1. 不能完全防止感染病毒的软件或文件的传输 2. 不能防止基于数据驱动的攻击 3. 不能完全防止后门攻击
件
1.2网络安全目标和功能
网络安全目标 1、机密性 2、完整性 3、可用性 4、抵抗抵赖性 5、可控性 网络安全基本功能 1、网络安全防御 2、网络安全检测 3、网络安全应急 4、网络安全恢复
1.3网络信息安全技术需求
1、网络物理安全：环境安全、设备安全、媒体安 全
2、网络认证 3、网络访问控制 4、网络安全保密 5、网络漏洞评估 6、网络恶意代码 7、网络安全应急相应 8、网络安全体系·
5、3、2网络机房场地选择
1. 环境安全性 2. 地质可靠性 3. 场地抗电磁干扰性 4. 应避开强震动源和强噪声源 5. 避免高层以及用水设备的下层和隔壁
存储介质的安全感
1、强化管理 2、数据加密保存 3、磁盘整列 4、网络存储san－存储域网络（Storage
Area Network）
4.5数字签名
数字签名应满足以下条件 1、不可否认性 2、不可伪造性 3、第三方可认证
4.6安全协议
SSL（Secure Socket Layer）是介于应用层和TCP层之间的 安全通信协议。主要目的是当两个应用层之间相互通信时，使 被传送信息具有保密性和可靠性。
SSL由两层协议组成1、SSL纪录协议（用途是将各种不同的较 高层次的协议封装后再传送）2、SSL握手协议（为两个应用 程序开始传送或接收数据前，提供服务器和客户端间的相互认 证，并相互协商决定双方通信使用的加密算法及加密密钥）
网路安全技术体系构建内容
1、物理层安全 2、系统层安全 安全问题来自网络内使用的操作系统的安
全 表现在三个方面：1、系统本身缺陷 2、 安全配置 3、病毒的威胁 3、网络层安全 4、应用层安全
第四章 网络安全密码学基本理论
4.2 密码体制分类 4.2.1 私钥密码体制 4.2.2 公钥密码体制 4.2.3 混合密码体制 4.3 常见密码算法 1.DES 2.IDEA AES RSA DIFFIE-HELLMAN 4.4 杂凑函数
断身份的真实性，是非公开的、难以伪造的 1. 所知道的秘密 2. 所拥有的实物 3. 生物特性信息 4. 上下文信息
6、3认证的作用和意义
主要用途 1. 验证网络资源访问者的身份，给网络系统访
问授权提供支持服务 2. 验证网络信息的发送者和接收者的真实性、
防止假冒 3. 验证网络信息的完整性、防止篡改、重放、
并根据用户的类型，授权用户访问资产 5. 运行和文虎访问控制系统，及时调整访问策略 6. 最小特权管理 7. 用户访问管理 8. 口令管理
第八章 防火墙技术的原理与应用
防火墙的工作原理
防火墙是由一些软件和硬件组合而成的网络访问控制器，他根 据一定的安全规则来控制流过防火墙的网络包，从而起到网络 安全屏障的作用
第六章 认证技术的原理与应用
6、1认证相关概念 认证就是一个实体向另外一个实体证明其所具有的某种特性的
过程 标识：用来代表实体的身份，确保实体在系统的唯一性和可辨
识性，一般用名称和标识符来表示 鉴别：指对实体身份的真实性进行识别。鉴别的依据是用户所
拥有的特殊信息或实物 6.2 认证信息的类型 认证过程中，鉴别通常依据实体或用户所提供的特殊信息来判
计算机网络信息安全理论与实践教程
第一章 网络信息安全概论
1.1 网路安全现状与问题 1.2网络安全典型问题： 1、对网络依赖程度增强， 2、网络系统中管理和技术上的漏洞日益增多 3、 恶意代码危害大 4、网络攻击技术复杂化、使用简单化 5、网络安全建设缺乏规范操作 6、网络安全认证方式繁多，使用、管理复杂 7、网络安全产品国产化低 8、网络安全建设涉及人员多，安全和易用难以平衡 9、网络系统软件、硬件产品单一，易发生大规模网络安全事
前面安全守卫的类比，和刚才在输入包中查找地址不同的是，“应用 级代理”安全守卫打开每个包并检查其中内容并将发送者的信任书同 已明确建立的评价标准相对比。如果每个传输包都通过了这种细致的 检查，那么守卫签署传送标记，并在内部送一份可信快递以传递该包 到合适的住户，卡车及司机无法进入。这种安全检查不仅更可靠，而 且司机看不到内部网络。尽管这些额外的安全机制将花费更多处理时 间，但可疑行为绝不会被允许通过“应用级代理”安全守卫。
网安全管理内容 网络安全管理要素 网络安全管理对象 网路安全威胁 网络脆弱性（与安全策略相冲突的状态或错误，将导致攻击者非
授权访问，假冒用户执行操作及拒绝服务） 网络安全保护措施
1.5网络安全管理方法和流程
1明确网络系统业务要求 2确定网络安全策略
3明确网络安全管理范围 4实施网络安全风险评估 5网络安全风险控制管理 6制定网络安全管理相关声明 7网络安全风险管理系统运行
2.2网络攻击的一般过程
1. 隐藏攻击源 2. 收集攻击目标信息 3. 挖掘漏洞信息 4. 获取目标访问权限 5. 隐蔽攻击行为 6. 实施攻击 7. 开辟后门 8. 清除攻击痕迹
2.3网络攻击常见技术方法
1. 端口扫描 2. 口令破解 3. 缓冲区溢出 4. 网络蠕虫 5. 网站假冒 6. 拒绝服务 7. 网络嗅探 8. SQL注入攻击 9. 社交工程方法 10. 电子监听技术 11. 会话劫持 12. 漏洞扫描 13. 代理技术 14. 数据加密技术
Fra Baidu bibliotek
7.4访问控制类型
1. 自主访问控制（DAC） 基于行的自主访问控制 基于列的自主访问控制
2. 强制访问控制（MAC） 3. 基于角色的访问控制
7.5 访问控制策略的设计与组成
组成： 1. 机房访问控制策略 2. 拨号服务器访问控制策略 3. 路由器访问控制策略 4. 交换机访问控制策略 5. 防火墙访问控制策略 6. 主机访问控制策略 7. 数据库访问控制策略 8. 客户端访问控制策略 9. 网络服务访问控制策略 10. 访问策略也是由物理到设备，基础平台到网络应用
提供三种服务 1、保密性通信 2、点对点之间的身份认证 3、可靠性通信
Ssl协议通讯示意图
第二篇网络安全技术与标准 第五章 物理与环境安全技术
5、2物理安全常见方法 1. 防火 2. 防水 3. 防震 4. 防盗 5. 防鼠虫害 6. 防雷 7. 防电磁 8. 防静电 9. 安全供电
1、安全组织的领导层 2、安全组织的管理层 3、安全组织的执行层 4、安全组织的外部协作层
网络安全管理体系构建的内容
1、网络安全策略 2、第三方合作管理 3、网络系统资产分类与控制 4、人员安全 5、网络物理与环境安全 6、网络通信与运行 7、网络访问控制 8、网络应用系统开发与维护 9、网络系统可持续行运营 10、网络管理一致性和合法性
8网络安全风险管理系统维护
第二章 网络攻击原理与常用方法
2.1网络攻击的概念 是指对网络系统的机密性、完整性、可用性、
可控性、抵赖性产生危害行为 危害行为的四个基本情形：
信息泄漏攻击 完整性破坏攻击 拒绝服务攻击 非法使用攻击
2.1.2网络攻击技术的发展演变
1. 智能化、自动化的网络攻击 2. 网络攻击者的技术要求 3. 多目标网络攻击 4. 协同网络攻击 5. 网络拒绝服务攻击 6. 网络攻击速度变快
延迟
6.4认证的分类
1. 单向认证 2. 双向认证 3. 第三方认证
6.5认证的实现技术
1. 口令认证技术 2. 智能卡技术 3. 基于生物特性认证 4. Kerberos 5. 公钥基础设施（PKI）
第七章 访问控制技术的原理与应用
7.1访问控制目标 1、防止非法用户进入系统 2、阻止合法用户对系统资源的非法使用 为实现访问控制，首先对网络用户进行有效的身份认证，然后